delphiec Опубликовано 3 января, 2016 (изменено) · Жалоба Привет всем, есть роутер Mikrotik hap (не lite). После конфигурирования никаких нареканий не было, спустя неделю обнаружился неизвестный исходящий трафик на внешнем интерфейсе. https://s.mail.ru/2bZmWd3FXD64/img-2016-01-03-13-03-47.png ether1-gateway является WAN портом роутера. через pppoE происходит подключение к провайеру. И самое интересное, что весь подозрительный трафик крутится только на WAN. Как на микротике можно отмониторить, что это за траффик? P.S. при этом трафик может доходить до 12 мбит. Изменено 3 января, 2016 пользователем delphiec Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 3 января, 2016 · Жалоба DNS relay? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aytishnikcom Опубликовано 3 января, 2016 · Жалоба # Блокируем DNS запросы на внешний интерфейс add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp add chain=input action=drop in-interface=wan protocol=udp dst-port=53 Только свой пропиши: in-interface=WAN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 3 января, 2016 · Жалоба aytishnikcom, а так ли нужен вообще днс прокси на микротике? У меня, к примеру, в принципе нет своих днс релеев нигде, никаких. Юзерам раздаю днс присоединяющих операторов. Я за то, чтобы вообще отключить. При условии нормального аплинка - если у вас не спутник и не EDGE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
delphiec Опубликовано 4 января, 2016 (изменено) · Жалоба # Блокируем DNS запросы на внешний интерфейс add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp add chain=input action=drop in-interface=wan protocol=udp dst-port=53 Только свой пропиши: in-interface=WAN Спасибо, помогло, единственный момент, достаточно одного правила для протокола UDP и стоит его поднять вверх. Изменено 4 января, 2016 пользователем delphiec Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 4 января, 2016 · Жалоба delphiec, в большинстве случаев достаточно четырех правил, перекрывающих все явно не разрешенные соединения: /ip firewall filter add action=drop chain=input connection-state=invalid,new in-interface=WAN add action=drop chain=forward connection-state=invalid add chain=input connection-state=established,related add chain=forward connection-state=established,related Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aytishnikcom Опубликовано 4 января, 2016 (изменено) · Жалоба Да желательно добавить правила как советует (даже обязательно!) DRiVen. Вот примерный такой полный конфиг с описанием и в какой последовательности: /ip firewall filter # Блокируем всех из чёрного списка add action=drop chain=input comment="Drop blocklist" dst-address-list=blocklist add action=drop chain=forward comment="Drop blocklist" dst-address-list=blocklist # Фильтруем полезный ICMP add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="ICMP echo reply" add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="ICMP net unreachable" add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="ICMP host unreachable" add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="ICMP host unreachable fragmentation required" add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="ICMP allow source quench" add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="ICMP allow echo request" add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="ICMP allow time exceed" add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="ICMP allow parameter bad" add chain=icmp action=drop comment="ICMP deny all other types" # Блокируем Bogon add action=drop chain=forward comment="Block Bogon IP Address" src-address=127.0.0.0/8 add action=drop chain=forward dst-address=127.0.0.0/8 add action=drop chain=forward src-address=224.0.0.0/3 add action=drop chain=forward dst-address=224.0.0.0/3 # Блокируем DNS запросы на внешний интерфейс add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp add chain=input action=drop in-interface=wan protocol=udp dst-port=53 # Защита от брутфорса SSH add action=drop chain=input comment="drop ssh brute forcers" dst-port=22 \ protocol=tcp src-address-list=ssh_blacklist add action=add-src-to-address-list address-list=ssh_blacklist \ address-list-timeout=3d chain=input connection-state=new dst-port=22 \ protocol=tcp src-address-list=ssh_stage3 add action=add-src-to-address-list address-list=ssh_stage3 address-list-timeout= \ 30m chain=input connection-state=new dst-port=22 protocol=tcp \ src-address-list=ssh_stage2 add action=add-src-to-address-list address-list=ssh_stage2 address-list-timeout= \ 30m chain=input connection-state=new dst-port=22 protocol=tcp \ src-address-list=ssh_stage1 add action=add-src-to-address-list address-list=ssh_stage1 address-list-timeout= \ 30m chain=input connection-state=new dst-port=22 protocol=tcp # Защита от сканера портов add chain=input protocol=tcp psd=21,3s,3,1 action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="Port scanners to list" disabled=no # Комбинации TCP флагов, указывающих на использование сканера портов add chain=input protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="NMAP FIN Stealth scan" add chain=input protocol=tcp tcp-flags=fin,syn action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="SYN/FIN scan" add chain=input protocol=tcp tcp-flags=syn,rst action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="SYN/RST scan" add chain=input protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="FIN/PSH/URG scan" add chain=input protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="ALL/ALL scan" add chain=input protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg action=add-src-to-address-list address-list=port_scanners address-list-timeout=2w comment="NMAP NULL scan" # Запрет подключений сканеров портов add chain=input src-address-list=port_scanners action=drop comment="dropping port scanners" disabled=no add chain=forward src-address-list=port_scanners action=drop comment="dropping port scanners" disabled=no # Разрешаем уже установленные подключения и связанные add chain=input connection-state=established action=accept comment="Allow Established connections" add chain=input connection-state=related action=accept comment="Allow Related connections" # Разрешаем внешние подключения для собственных нужд add action=accept chain=input dst-port=22 in-interface=WAN protocol=tcp comment="Allow SSH" add action=accept chain=input dst-port=80 in-interface=WAN protocol=tcp comment="Allow HTTP" add action=accept chain=input dst-port=161 in-interface=WAN protocol=udp comment="Allow SNMP" add action=accept chain=input dst-port=443 in-interface=WAN protocol=tcp comment="Allow HTTPS" add action=accept chain=input dst-port=1194 in-interface=WAN protocol=tcp comment="Allow OpenVPN" add action=accept chain=input dst-port=1194 in-interface=WAN protocol=udp add chain=input comment="Allow L2TP" dst-port=1701 in-interface=WAN protocol=tcp add chain=input comment="Allow L2TP" dst-port=1701 in-interface=WAN protocol=udp add chain=input comment="Allow PPTP" dst-port=1723 in-interface=WAN protocol=tcp add chain=input comment="Allow GRE" in-interface=WAN protocol=gre # Запрет всех входящих на маршрутизатор add chain=input in-interface=WAN action=drop comment="Drop everything else" # Разрешаем уже установленные подключения и связанные add chain=forward connection-state=established action=accept comment="Allow Established connections" add chain=forward connection-state=related action=accept comment="Allow Related connections" # Запрет транзита '''битых''' и '''неправильных''' пакетов add chain=forward connection-state=invalid action=drop comment="Drop Invalid connections" # Заперт установки новых транзитных входящих соединений на WAN порту add action=drop chain=forward comment="Drop new forward WAN" connection-state=new in-interface=WAN Изменено 5 января, 2016 пользователем aytishnikcom Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 5 января, 2016 · Жалоба Вот примерный такой полный конфиг с описанием и в какой последовательности: И что после этого станет с микротиком? Указанные правила требуют включения CT, что поест ресурсы. Обычно достаточно отключить все не нужные порты со службами, изменить нужным службам номера портов, что бы нельзя было с ходу определить кто на каком порту сидит, поставить в настройках админов IP адреса или подсети, с которых можно подключаться. Если нужен свой локальный ДНС сервер, достаточно установить еще микротик и подключить через серый IP, тогда на его ДНС никто извне не попадет. Например если у вас много микротиков подключенных через интернет, то устанавливаете адрес админа = серому адресу, который доступен через подключение по туннелю в центр, тогда никто извне не сможет ни пароль подобрать, ни что-то плохое сделать кроме флуда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aytishnikcom Опубликовано 6 января, 2016 (изменено) · Жалоба А что станет с вами, если вы поедите все новогодние ресурсы? Обычно достаточно просто пить в новый год, меняя рюмки и бакалы, чтоб нельзя было с ходу определить что вы пьете, больше закусывайте, чтобы нельзя было с ходу определить кто где на каком стуле сидит, поставьте на стол еще бутылку... тогда на его ДНС никто извне не попадет.. Изменено 6 января, 2016 пользователем aytishnikcom Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 6 января, 2016 · Жалоба А что станет с вами, если вы поедите все новогодние ресурсы? Обычно достаточно просто пить в новый год, меняя рюмки и бакалы, чтоб нельзя было с ходу определить что вы пьете, больше закусывайте, чтобы нельзя было с ходу определить кто где на каком стуле сидит, поставьте на стол еще бутылку... тогда на его ДНС никто извне не попадет.. Это сообщение аналогично представленному выше списку команд=) Еще раз напишу - есть задача по защите роутера и ее можно решить разными средствами. Приведенный вами код слишком большой и нагружает ресурсы оборудования, при этом аналогичные уровни защиты можно получить более простыми методами. Кроме всего есть 3 вида установки устройств: 1. Большое количество роутеров с внешними адресами. 2. Большое количество роутеров с внешними адресами и туннелями в центр. 3. Оборудование сети, в котором администратор находится со стороны локальных адресов. Случаи 2 и 3 вообще решаются просто - закрывается доступ извне, т.к. администратор подключается по серым адресам. Случай 1 требует наличия доступа извне, тут указание фиксированного IP компьютера администратора опасно, если адрес изменится, пропадет доступ на оборудование. Поэтому тут следует применять различные средства защиты. Но применять такие же в пунктах 2 и 3 избыточно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tonchi Опубликовано 7 января, 2016 · Жалоба Сегодня обратил внимание, что и у меня Микротик гоняет неизвестный трафик на порту, которым принимает интернет от провайдера (ethernet1 он же WAN порт) aytishnikcom предоставил правила для Фаервола, чтобы этого неизвестного трафика не было. Но автор aytishnikcom добавил полный список правил для фаервола. Подскажите, достаточно только того, что посоветовал aytishnikcom или нет? Просто на сколько мне известно, чем больше правил, тем больше нагрузка на устройство. Не хотелось бы нагружать его лишним. Устройство является базовой станцией для Хотспота. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aytishnikcom Опубликовано 7 января, 2016 (изменено) · Жалоба Можете еще добавить только что советует DRiVen, к этому # Блокируем DNS запросы на внешний интерфейс DRiVen. Изменено 7 января, 2016 пользователем aytishnikcom Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 8 января, 2016 · Жалоба Сегодня обратил внимание, что и у меня Микротик гоняет неизвестный трафик на порту, которым принимает интернет от провайдера (ethernet1 он же WAN порт) aytishnikcom предоставил правила для Фаервола, чтобы этого неизвестного трафика не было. Но автор aytishnikcom добавил полный список правил для фаервола. Подскажите, достаточно только того, что посоветовал aytishnikcom или нет? Просто на сколько мне известно, чем больше правил, тем больше нагрузка на устройство. Не хотелось бы нагружать его лишним. Устройство является базовой станцией для Хотспота. вам достаточно посмотреть на кол-во постов у того кто тупо скопипастил с инета набор правил, а спроси он хрен внятно расскажет для чего они нужны, чел просто набивает себе карму.... вам же достаточно послушать и осмыслить что говорит сааб, как не странно Антошка прав и логичен по сухому остатку вам просто нужно запретить возможность обращения на ваш днс сервер из внешней сети что было уже выше сказано и так же отключить не нужные службы...... все 99,9% трафика паразитного вы уберете, остальной бред это просто лишняя параноя. ну если уж о паранои как то видел на просторах скрипт для МТ где автор с помощью пинга на свое устройство вводил трехзначный код по которому его адрес вносился в разрешенный список, а по умолчанию у него на извне было одно правило дроп на input. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adsl Опубликовано 8 января, 2016 · Жалоба Я в шоке! Добавил всего лишь одно правило (add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp ). Паразитный трафик исчез, через несколько дней, для интереса, зашёл посмотреть загрузку процессора Hap и был сильно удивлён картинкой. Пользователи сразу отметили, исчезновения фризов и задержек в онлайн играх и вообще возросшую скорость открытия страниц. PS Объясните пожалуйста доходчиво, откуда этот трафик берётся? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Tonchi Опубликовано 8 января, 2016 (изменено) · Жалоба PS Объясните пожалуйста доходчиво, откуда этот трафик берётся? ответ) возможность обращения на ваш днс сервер из внешней сети add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp Результатом доволен, добавил одно правило и неизвестный трафик пропал. Все таки добавил еще второе правило add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp а третье аналогичное первому, или нет? Изменено 8 января, 2016 пользователем Tonchi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TTvs Опубликовано 8 января, 2016 · Жалоба Я в шоке! Добавил всего лишь одно правило (add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp ). Паразитный трафик исчез, через несколько дней, для интереса, зашёл посмотреть загрузку процессора Hap и был сильно удивлён картинкой. Пользователи сразу отметили, исчезновения фризов и задержек в онлайн играх и вообще возросшую скорость открытия страниц. PS Объясните пожалуйста доходчиво, откуда этот трафик берётся? Недавно обсуждали. Слушайте, вы форум читаете? Поиском пользуетесь? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dronis3 Опубликовано 8 января, 2016 (изменено) · Жалоба Я в шоке! Добавил всего лишь одно правило (add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp ). Паразитный трафик исчез, через несколько дней, для интереса, зашёл посмотреть загрузку процессора Hap и был сильно удивлён картинкой. Пользователи сразу отметили, исчезновения фризов и задержек в онлайн играх и вообще возросшую скорость открытия страниц. PS Объясните пожалуйста доходчиво, откуда этот трафик берётся? А скажите такую вещь, у вас в правиле счетчик трафика на запрет 53 порта в байтах и пакетах повышается или на нуле висит ? Просто я сколько этих правил на микротиках не создавал, всегда счетчик на нуле, правда и проблемы с трафиком не было как у вас. Изменено 8 января, 2016 пользователем dronis3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adsl Опубликовано 8 января, 2016 (изменено) · Жалоба Правило работает. У меня белый статический IP, интересно как проявляется на серых и находящихся за NAT`ом провайдера айпишниках? Изменено 8 января, 2016 пользователем adsl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dronis3 Опубликовано 8 января, 2016 (изменено) · Жалоба Правило работает. У меня белый статический IP, интересно как проявляется на серых и находящихся за NAT`ом провайдера айпишниках? А по мимо блокировки до этого у вас были стандартные правила? Смотрю просто там их 2 шт. А вот у меня не разу правило не сработало. Изменено 8 января, 2016 пользователем dronis3 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 9 января, 2016 · Жалоба Объясните пожалуйста доходчиво, откуда этот трафик берётся? Из интернета. ам же достаточно послушать и осмыслить что говорит сааб, как не странно Антошка прав и логичен В этом случае да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 9 января, 2016 · Жалоба как проявляется на серых и находящихся за NAT`ом провайдера айпишниках? Да никак, как может сработать входное правило, если входные от публички уже вышележащим NATом закрыты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
АКанев Опубликовано 27 февраля, 2016 (изменено) · Жалоба delphiec, в большинстве случаев достаточно четырех правил, перекрывающих все явно не разрешенные соединения: /ip firewall filter add action=drop chain=input connection-state=invalid,new in-interface=WAN add action=drop chain=forward connection-state=invalid add chain=input connection-state=established,related add chain=forward connection-state=established,related Здравствуйте, подскажите пожалуйста почему так много drop'ов при выполнении первого правила, а именно add action=drop chain=input connection-state=invalid,new in-interface=WAN В логе присутствуют в основном АйПи к которым коннектится Торрент-Клиент. Но в работе клиента ощутимых изменений не заметно. Скачивает и раздают с прежней скоростью... Спасибо. Дополнение. Нет, всё-таки наверное это правило "режет" раздачи Торрента... Можено ли это правило отредактировать чтобы этого не происходило? Спасибо. Изменено 27 февраля, 2016 пользователем АКанев Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 27 февраля, 2016 · Жалоба Порт на торрент-клиенте сделайте статическим и для него проброс сделайте /ip firewall nat add action=dst-nat chain=dstnat dst-port=[порт торрента] in-interface=WAN protocol=tcp\ to-addresses=[ip компа с торрент-клиентом] to-ports=[порт торрента] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
АКанев Опубликовано 28 февраля, 2016 (изменено) · Жалоба Порт на торрент-клиенте сделайте статическим и для него проброс сделайте /ip firewall nat add action=dst-nat chain=dstnat dst-port=[порт торрента] in-interface=WAN protocol=tcp\ to-addresses=[ip компа с торрент-клиентом] to-ports=[порт торрента] Большое спасибо за ответ. Так и сделаю. Пока ждал ответа пробовал разобраться и модифицировать правило (я чайник) и если не отмечать "new" тогда, как показалось drop'ов меньше... Не заню на сколько это критично, поэтому восстановил оригинальное правило: /ip firewall filter add action=drop chain=input connection-state=invalid,new in-interface=WAN Спасибо. P.S. Прошу прощения - скорее всего мой вопрос не по теме "Неизвестный Трафик"... Изменено 28 февраля, 2016 пользователем АКанев Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...